В первой части, Ложь, большая ложь и антивирусы, мы затронули аспект инерции сознания в выборе типа средств защиты от заражения зловредным программным обеспечением, зачастую ложно идентифицируемыми обычными пользователями как «вирусы».

Ну хорошо, скажете вы, мы тут такие все инертные, ничего нового не ищем. Но ведь есть компьютерные издания, журналисты которых должны следить за интересными новинками и писать о них. А они не пишут. Значит, новые технологии защиты плохие?

Да нет, всё не так однозначно. Когда кто-то создаёт новый, инновационный продукт для рынка, где нет устоявшихся «хороших практик», технологий и лидеров, о нем, безусловно, напишут. Но если это не так, то никто ничего писать не будет.

Антивирусная лаборатория PandaLabs выяснила, что в 2010 году 25% всех новых компьютерных вирусов были разработаны специально для распространения через USB-устройства. Такой тип угроз способен автоматически копировать себя на любое устройство для хранения информации: мобильный телефон, съёмные жесткие диски, карты памяти, MP3/4-плееры и любые другие USB-устройства.

Собранные данные подтверждают, что подобный способ распространения угроз очень эффективен. В рамках Второго Международного исследования уровня IT-безопасности компаний среднего и малого бизнеса, проведенного лабораторией PandaLabs, были проанализированы данные о 10470 компаниях из 20 стран мира.

Выяснилось, что 48% компаний малого и среднего бизнеса (до 1000 рабочих станций) были заражены тем или иным видом вредоносного программного обеспечения в течение последнего года. В 27% случаев подтвердилось, что причиной инфицирования стало USB-устройство, подключенное к компьютеру.

Panda USB Vaccine — бесплатная утилита, разработанное для блокировки вредоносных программ, распространяющихся через съемные устройства, такие как флэшки памяти, MP3 плееры, цифровые камеры и т.д. Утилита предоставляет пользователям простой способ отключения функции автозапуска в Windows, предлагая высокий уровень защиты от инфекций, способных распространяться со съемных устройств.

Продукт Panda USB Vaccine предлагает двойной уровень превентивной защиты, позволяя пользователям отключить функцию автозапуска на компьютерах, USB-устройствах и других устройствах.

Первая функция, «Vaccine for computers» (вакцина для компьютеров), предназначена для компьютеров для предотвращения запуска любого файла AutoRun вне зависимости от того, инфицировано устройство или нет (карты памяти, CD и пр.).

Вторая функция, «Vaccine for USB devices» (вакцина для USB-устройств), используется для съемных USB-устройств, предотвращающая от ситуаций, когда файл AutoRun становится источником инфицирования. Утилита отключает этот файл таким образом, что он не может быть прочитан, модифицирован или перемещен вредоносным кодом.

Современные веб-сайты наполняются содержимым из множества источников. Пользователи зачастую и не подозревают, что некоторое содержимое – изображения, реклама, аналитические данные – предоставлены сторонними веб-сайтами, и что некоторые из них могут отслеживать перемещение пользователей в Интернете.

Функция просмотра InPrivate Browsing в Internet Explorer 8 не позволяет браузеру сохранять историю просмотра, временные интернет-файлы, введенные в формы данные, файлы cookies, имена пользователей и пароли. В защищенном режиме InPrivate Browsing пользователь не оставляет никаких сведений о веб-страницах, которые посещал или искал с Internet Explorer 8.

Но как оказался, режим безопасного веб-серфинга InPrivate Browsing браузера Internet Explorer 8 является не столь безопасным. Это стало известным после изучения принципов его работы. Для работы в режиме фильтрации InPrivate Browsing веб-браузер Internet Explorer 8 открывает новое окно, данный режим работает для всех вкладок этого окна, однако при открытии нового окна, режим InPrivate Browsing на него не распространяется.

Корпорация Microsoft предупредила о том что, в сети появился опасный фальшивый антивирус, распространяемый через Интернет-браузеры. Фальшивый антивирус под кодовым названием Rogue:MSIL/Zeven автоматически определяет тип браузера, а затем очень похоже имитирует соответствующие диалоги браузера с предупреждением о вирусной угрозе.

Фальшивые диалоги предупреждений почти неотличимы от настоящих — далеко не каждый пользователь сможет с первого взгляда определить подделку. Эта уловка представляет собой разновидность социальной инженерии, но в данном случае авторы вируса полагаются на то, что пользователи доверяют своим браузерам — по словам специалистам по информационной безопасности, подобная тактика обнаружена впервые.

Эксперты по информационной безопасности антивирусной компании PandaLabs, представили список самых распространенных сетевых мошеннических схем за последние 10 лет. Эти основанные на легковерии трюки все еще используются, позволяя киберпреступникам выманивать у своих жертв суммы от пятисот до несколько тысяч долларов.

Сценарий у таких атак чаще всего один и тот же:

1. первоначальный контакт осуществляется через электронную почту или социальные сети
2. затем потенциальную жертву могут попросить держать связь по почте, телефону и т.д.
3. в ходе общения мошенники стремятся войти в доверие к людям
4. и в конечном итоге просят у них деньги под тем или иным предлогом

Эксперт по компьютерной безопасности Рубен Сантамарта (Ruben Santamarta) сообщил об обнаружение скрытого параметра в ActiveX расширение медиаплеера QuickTime. Обнаруженный параметр "_Marshaled_pUnk" существует в QuickTime еще с версии 6.х, а это более 8 лет.

Используя этот параметр, злоумышленник может удаленно выполнить произвольный программный код на уязвимой системе в момент открытия специально сформированной веб-страницы, использующей этот параметр при внедрении ActiveX элемента.

Возможность использования в QuickTime сторонних DLL файлов, позволяет организовать атаку с обходом встроенных в ОС Windows систем защиты памяти Data Execution Prevention (DEP) и Address Space Layout Randomisation (ASLR).

Этой статьёй я начинаю серию, посвящённую некоторым аспектам так называемой «антивирусной индустрии», которые, надеюсь, будут интересны не только мне одному.

Вот уже в который раз нас пугают страшилками в стиле «очередной вирус разошёлся по миру миллионными тиражами. Мы все погибнем!». Вот только, читая очередной бодрый пресс-релиз очередного производителя очередного антивирусного средства, недоумеваешь. Как же так? Нас так надёжно защищают, столь всесторонне: тут и сигнатуры, и эвристик, и даже — писк сезона — поведенческий блокиратор. Тогда какого ... люди продолжают заражаться? Откуда эпидемии? Действительно ли современные антивирусные средства эффективны?

Первые антивирусы возникли в районе 1985 года как ответ на первые файловые вирусы, заражающие исполнимые и интерпретируемые файлы и работающие в среде MS DOS. Кто ещё помнит, это такая однозадачная операционная система, где её ядро и прикладные программы работали на одном уровне привилегий. И именно антивирусы оказались на этой платформе наиболее рациональным инструментом борьбы с вирусами, причём как излечения уже заражённых машин, так и предотвращения заражения.

«Лаборатория Касперского» объявила о выпуске новых версий решений для домашних пользователей Kaspersky Internet Security 2011. В Kaspersky Internet Secuity 2011 реализована новая технология — Мониторинг активности программ, которая отслеживает, регистрирует и анализирует активность всех процессов в системе. Действия программ, ведущих себя подозрительно, блокируются. При этом, регистрируя историю системных событий, данная технология позволяет отменить действия программы, признанной вредоносной.

Не секрет, что для некоторых стран характерно особенно большое количество зараженных сайтов. Благодаря новой функции Гео-фильтр, в Kaspersky Internet Security 2011 появилась возможность блокировать домены, относящиеся к конкретным странам, после чего доступ к ресурсам с соответствующими доменными именами будет невозможен. По умолчанию функция Гео-фильтр отключена.

В Kaspersky Internet Security 2011 блокирование вредоносных веб-сайтов вышло на качественно новый уровень. В свежей версии продукта, помимо проверки сайтов по базе вредоносных URL, реализована дополнительная репутационная оценка веб-ресурсов. С включенным Веб-фильтром Kaspersky Internet Security 2011 информирует о репутации того или иного веб-сайта, а доступ к подозрительным и опасным ресурсам блокируется.

Фирма Zscaler объявила об обнаружении на просторах Интернета почти трех миллионов фальшивых страниц YouTube, цель которых — заставить пользователей загрузить поддельное антивирусное ПО. Согласно данным, опубликованным на официальном блоге Zscaler, все эти страницы проиндексированы Google и могут быть легко обнаружены поиском по ключевой фразе ”Hot Video”.

Каждая из найденных специалистами фирмы страниц содержит невидимый слой с элементами Flash, которые автоматически перенаправляют потенциальных жертв на страницу фальшивого антивируса. URL Flash-файла, расположенного на другом домене, скрыт с помощью javascript. Помимо этого, чтобы гарантировать индексацию подставных страниц, их создатели включают в HTML-код ссылки на такие известные и законопослушные ресурсы, как flickr.com, nasa.gov, google.com и другие.